Escuché sobre los shells inversos persistentes, y cómo, en teoría, pueden permanecer indefinidamente en el sistema del objetivo, y cómo pueden conectarse al host cuando la máquina del objetivo arranca, pero ¿cómo puede ganar su persistencia los shells inversos? ¿Se copian a sí mismos en la carpeta de inicio de Windows, hay un script externo que ejecuta el programa o escriben en un proceso?
No lo hacen.
Un shell inverso es solo una técnica para conectarse y controlar una computadora. Por sí solo, una carcasa inversa no tiene absolutamente ninguna capacidad de persistencia. Para poder persistir, debe ser la carga de malware que hace ofrece persistencia. Por ejemplo, el software malicioso configurado para ejecutarse como un servicio podría instalar un shell inverso.
Hay muchas formas en que esto puede ocurrir y difieren dependiendo de tu pila. Desafortunadamente, hay demasiados para pasar por aquí. PERO, lo que sugeriría si está interesado en este tipo de cosas (y es extremadamente interesante) es que vaya al Mitre ATT & CK y busque en la categoría marcada persistencia para ver ejemplos prácticos.
En resumen, las tareas o las aplicaciones que se ejecutan con bastante frecuencia pueden tener ciertas fallas que permitirán que se ejecute código malicioso dando persistencia. Por qué en Windows puede usar eventos de WMI para mantener la persistencia cada vez que el usuario abre Chrome si lo desea.
Lea otras preguntas en las etiquetas backdoor